0
我正在通过SSL调用SOAP Web服务的库中编写一个类。 SOAP服务要求在每次调用时传入用户名和密码。这个库将被公共网站的服务器代码引用。我不确定存储密码的标准/最佳方式是什么。调用每次调用都需要用户名和密码的SOAP服务。我应该如何存储密码?
我看到的选项...
- 硬编码密码在类
- 存储在数据库中
- 存储在配置文件中的密码口令字符串
这些都不安全,易于更新。
A
回答
1
我不是一名安全专家,我也没有做过任何.NET开发(所以信息可能已过时),但这里有一些想法或建议可能对您有所帮助。
硬编码密码在类
不要做一个字符串。你的源代码是在版本控制(TFS,Git,无论)中,所以将是用户名/密码,每个开发人员从你签入代码到......永远都能看到。为了确保对用户名/密码的访问,您现在被迫保护对源存储库的访问。我想所有的开发者都需要访问源代码,但并不需要知道用户名/密码。
存储在数据库中的密码,根据您的个人资料
我假设你使用SQL Server? See what encryption options are available to SQL server如果你想要走这条路。也许其中一个就足够你的用例。
存储在配置文件中
再次输入密码,这将有可能最终在源代码控制,但它不是那么糟糕,因为第一个选项,因为你可以encrypt parts of the config文件(我假设C#基于你的个人资料)。
如果您可以控制SOAP服务,也许可以将其从需要用户名/密码更改为使用相互身份验证。您在客户机上安装证书(拒绝导出密钥),并仅允许从安装了证书的客户机(也可以将其安装在开发人员的计算机上)调用Web服务。
解决方案真的取决于保护这个用户名/密码的重要性,即您希望的安全级别(您没有在您的问题中指定)。
如果它不是非常重要,可以将它放在数据库中作为您的配置文件2)或从配置中引用的外部文件(未在源代码管理中提交),并将该文件放在服务器或开发机器上。然后,您基本上可以控制对机器的访问(假设所有开发人员在从键盘起床时锁定其PC)。
如果保护这个真的非常重要,你可以问https://security.stackexchange.com/更好的建议比我可以给你:)。
相关问题
- 1. 每次需要密码CryptSignMessage()调用
- 2. 如何从Android调用SAP SOAP Web服务?用户名和密码。?
- 3. Powershell脚本需要调用的域用户名和密码
- 4. 我如何要求URL的服务器需要用户名和密码
- 5. ajax调用需要用户名和密码
- 6. git每次都需要ssh服务器的密码
- 7. 在web服务调用中使用用户名和密码
- 8. 在java中使用wsdl,用户名和密码调用soap webservice
- 9. 每次调用Web服务时重复用户名/密码验证
- 10. 在web服务调用中发送用户名和密码
- 11. 存储iOS应用程序的用户密码和用户名
- 12. WCF Web服务需要访问用户名和密码信息
- 13. 需要帮助从服务器获取用户名和密码
- 14. 在__服务器_ip_需要用户名和密码
- 15. 存储用户名和密码
- 16. iPhone cookies存储用户名和密码
- 17. 用户名和密码存储位置
- 18. Xcode:存储用户名和密码
- 19. 存储演示用户名和密码
- 20. 存储用户名和密码,然后用户想要检索用户信息,但密码是加密的
- 21. 如何以加密形式存储用户名和密码?
- 22. 如何在Node.js中调用需要用户名和密码的API
- 23. 我应该如何存储密码?
- 24. symfony web服务用户名和密码
- 25. InvalidSecurity当我尝试SOAP调用我的WCF用户名和密码
- 26. 我应该如何将用户名和密码发送到服务器?
- 27. 服务器localhost:3000 at应用程序需要用户名和密码
- 28. 如何保存用户名和密码?
- 29. 如何获取WCF调用服务端的用户名和密码?
- 30. 如何调用WCF服务的JavaScript通过用户名和密码